Subida arbitraria de archivos en plugin Ninja Forms de WordPress
- Plugin Ninja Forms, versión 3.3.26 y anteriores.
El plugin Ninja Forms de WordPress tiene una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir la ejecución de código en remoto por parte de atacantes no autenticados.
Actualizar a la versión 3.3.27.
CVE-2026-0740: el plugin Ninja Forms para WordPress tiene una vulnerabilidad de subida de archivos arbitrarios, debido a que en la función ‘NF_FU_AJAX_Controllers_Uploads::handle_upload’ no se valida el tipo de fichero. Esto permite a atacantes no autenticados subir ficheros arbitrarios en el servidor del sitio afectado, lo que puede derivar en una ejecución de código en remoto.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-0740 | Crítica | si | SaturdayDrive |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.